JPRS・JPドメイン名サービスにおけるDNSSECの導入 は対応しな

JPRS・JPドメイン名サービスにおけるDNSSECの導入　は対応しないと問題ありますでしょうか？

【質問】：

現在、JPドメインを使用したサイトが有るのですが、将来的に現状のまま対応しないままでいると、サイトが著名されていないとブラウザ上で表示されるようになるだけと言う解釈で良いのでしょうか？

著名が無いとサイトの信頼性と言う意味では当然の事ですが、問題有でしょうか？
運営上は、JPドメイン名サービスへDNSSECを導入しなくても問題はないのでしょうか？
GoogleやYahooなど検索に影響する可能性などはどうでしょうか？

現状、サイトそのものは特定キーワードで上位表示されております。
（仮に個人ではなく、組織による運営の物である場合はどう影響するのでしょうか？？）


【以下 記事引用文】：http://internet.watch.impress.co.jp/docs/news/20 …

・・・JPドメイン名を管理する株式会社日本レジストリサービス（JPRS）は21日、JPドメイン名サービスにおけるDNSSECの導入時期について、2011年1月と発表した。

・・・DNSSEC（Domain Name System Security Extensions）は、DNSのセキュリティを強化するための拡張仕様。公開鍵暗号による署名をDNSの応答に付加することで、その出所の正当性と、内容が改ざんされていないことを検証できる仕組みだ。DNSキャッシュポイズニング攻撃への有効な解決策になると言われている。最近ではICANNが7月15日、DNSの最上位階層であるルートゾーンにおいてDNSSECを正式導入している。

・・・JPドメイン名サービスへDNSSECを導入する。

・・・なお、DNSSECの検証機能を使うためには、最上位階層のルートDNSサーバーから個々のドメイン名のDNSサーバーまで、すべての階層でDNSSECを導入することが求められる。例えば、JPドメイン名のDNSサーバーでは、DNS情報への署名や、署名に用いる鍵情報の登録手続きなどが必要になるという。このほかにも、キャッシュDNSサーバーや、JPドメイン名登録サービスでも対応が必要となるため、JPRSでは、これらDNSサーバーの運用関係者などに向け、DNSSEC運用に関する情報提供などを行っていくとしている。

No.1 ベストアンサー 回答者： mtaka2 回答日時： 2010/07/23 10:18

「著名」(ちょめい)ではなく「署名」(しょめい)ですが、

ある日突然、世界中の全てのDNSサーバがDNSSECに対応する、なんてことは不可能ですので、
JPRSのDNSSEC導入後もしばらくは、末端でDNSSECを導入しなくても実用上は何の問題ないでしょう。

DNSSECが一般的になり、DNSサーバはDNSSECを設定するのが当たり前という状況になって、初めて、
「DNSSECが設定されていないネームサーバは信用しない」という扱いができるようになります。

それまで、最低でも数年はかかると思います。

(DNSではありませんが、似たような話に、メールサーバの正当性(送信者の詐称チェック)を行う SenderIDやDomainKeys があります。どちらももう数年前から「サーバ側の設定」としては一般的に使われていますが、
まだまだ設定されていないサーバも存在しますので、
「設定されていないドメインのメールは信用しない」なんて運用が出来るレベルには全然達していません。)

この回答へのお礼

大変参考になりました。ありがとう御座いました。

お礼日時：2010/07/24 15:29

No.2 回答者： Toshi0230 回答日時： 2010/07/23 11:52

ちょっと誤解があるようですが、今回DNSSECで確保しようとしている信頼性は、「DNSの応答結果の信頼性」であって、WEBサイトの信頼性ではありません。

つまり、DNSで "www.example.co.jp"のIPアドレスを検索した結果"192.168.1.1"が本当に正しいのかどうか、ということを保証しようとしているもので、www.example.co.jpの内容（コンテンツ）が正しい（信頼できる）かどうかはDNSSECの範疇外です。

なので、googleやYahooの検索結果に関しては、今回の変更にはなんら（というと言い過ぎかもしれませんが）影響するものではないです。

質問者さんがDNSサーバを運用しているのであれば関係してくる話ですが、ISPなど業者のDNSを使用しているのであれば特に意識する必要はありません。せいぜい、業者に今後の対応予定を問い詰めるくらいでよいでしょう。

仮にDNSサーバを運用しているにしても、No.1さんがコメントされているとおり、すぐに現行のDNSサーバが使用できなくなるわけではないので、これから情報収集して対応を始めたとしても十分に間に合います。

この回答へのお礼

大変参考になりました。ありがとう御座いました。

お礼日時：2010/07/24 15:27